L’approvazione, in prima lettura, nelle scorse settimane da parte dell’Assemblea nazionale francese del progetto di legge «sulla prevenzione degli atti di terrorismo e sull’intelligence» sta facendo molto discutere.

Il testo contiene due sezioni principali, con disposizioni adottate in base all’estensione dello stato di emergenza successivo agli attentati alla sede di «Charlie Hebdo» del gennaio 2015. La prima parte riguarda un certo numero di misure relative ai poteri della polizia in riferimento a una persona sospetta o condannata (Micas). La seconda tocca i servizi di intelligence ed è quella che sta facendo più discutere.

Si tratta di un pacchetto di disposizioni prese in via sperimentale e definite alégales (ossia non previste dalla legge e al limite della legalità) che oggi il governo vuole far rientrare nel diritto ordinario. L’uso avrebbe dovuto essere bloccato nel 2018,  ma la presidenza Macron ha esteso l’esperimento fino alla fine del 2020, in un primo momento, salvo poi promulgarlo sino alla fine di quest’anno.

Il capitolo sull’intelligence, la «loi sur le renseignement», è in vigore dal 2017. Già oggi, dunque, questa legge permette ai servizi di intelligence  –  la Dgsi, incaricata di combattere il terrorismo sul territorio nazionale, e la Dgse che opera all’estero  –  di utilizzare «scatole nere» per analizzare i dati di connessione telefonica e di Internet degli utenti. Sostanzialmente, i servizi possono –  come in effetti fanno  –  imporre agli operatori delle telecomunicazioni il trattamento automatizzato (oggi attivo grazie a tre algoritmi) dei dati dei loro clienti, per individuare connessioni suscettibili di rappresentare una potenziale minaccia terrorista.

I dati in questione  riguardano le comunicazioni telefoniche, via voce e testuali, la geolocalizzazione e le informazioni relative alle connessioni. La legge, inoltre, autorizza l’uso degli Imsi-catchers, dispositivi per intercettare il traffico delle comunicazioni via telefono. Oggi, con il nuovo testo, il governo francese vorrebbe aggiungere ai dati che rientrano nello scanner degli algoritmi anche gli url (gli indirizzi di pagine web, risorse immagini, video consultati sul web). Si tratta, come è evidente, di un’informazione molto delicata, che racconta molto, a chi ne entra in possesso, della vita di una persona, mettendo a rischio l’anonimato richiesto dalla legge.

Si tratta di un’informazione molto delicata, che racconta molto della vita di una persona, mettendo a rischio l’anonimato richiesto dalla legge«Gli ultimi 9 attacchi che abbiamo subìto sono stati commessi da persone sconosciute dai servizi, non schedate o sospettate di radicalizzazione. Dobbiamo interrogarci sulle tecniche di intelligence che usiamo», ha spiegato il ministro degli Interni Gérald Darmanin il 28 aprile su FranceInter, «i terroristi hanno cambiato il loro modo di comunicare, ora passano attraverso Internet, la messaggistica criptata e i social network. Noi siamo “ciechi” di fronte a queste comunicazioni».

I critici della nuova legge in discussione parlano di «sorveglianza algoritmica di massa», facendo riferimento in particolare agli articoli 12 e 13. Perché? Oggi tra i metadati che l’algoritmo può scannerizzare, c’è l’indirizzo ip visitato da un utente. Semplificando, quello che il governo può sapere ora è se con il mio device, ad esempio, vado su YouTube e a che ora. Non può sapere  —  e questo grazie a https, il protocollo di sicurezza usato in quasi tutti i siti  —  quale pagina all’interno del sito viene consultata. In soldoni, a meno che non si visiti un sito raggiungibile all’indirizzo, poniamo, jihad.com o comecostruireunabomba.org o siti che fanno parte di una lista compilata dai servizi perché ritenuti problematici, la connessione resta «protetta».

Se il nuovo dispositivo dovesse essere adottato, gli algoritmi analizzeranno (potrebbero teoricamente analizzare) il fatto che un indirizzo ip (corrispondente alla macchina utilizzata per connettersi a Internet) consulta un sito (sulla jihad o il nazismo, sulla fabbricazione di esplosivi o l’uso di armi, per esempio), quali ricerche ha fatto, con quali parole e con quale frequenza. A seconda di come l’algoritmo è scritto  —  quali fattori sono necessari per innescare una allerta  — sarà possibile identificare un potenziale sospetto.

Se fino a oggi le «scatole nere» venivano installate nella rete di comunicazione, la nuova legge chiede che gli operatori telefonici inviino i dati direttamente ai servizi, che ne potranno così accantonare enormi quantità. Inoltre, gli operatori di telefonia dovranno conservare i dati di comunicazione per 5 anni, al posto dei 12 mesi previsti attualmente.

A questo dibattito se ne è affiancato uno un po’ sopra le righe e, per ora, un po’ a lato del pubblico. Il ministro degli Interni ha dichiarato che per che per aggirare la crittografia delle comunicazioni «stiamo [il governo] discutendo con i giganti del web per chiedere loro di farci entrare attraverso delle falle di sicurezza [le cosiddette backdoor]. Alcuni accettano, altri no. Abbiamo bisogno di una legge che obblighi le aziende non francesi».

Che cosa significa tutto questo?

Siamo di fronte a un governo che vorrebbe un’autorizzazione legale per poter violare la crittografia di un servizio privato e che, quindi, chiede di avere il potere di obbligare gli operatori e i fornitori di servizi di comunicazione a fare entrare i servizi segreti in comunicazioni che, in alcuni casi, sono criptate. Questo vale per servizi di messaggistica come Signal, Wire, o ancora WhatsApp, Telegram o Messenger.

Secondo la Quadrature du Net, associazione che si occupa di libertà fondamentali su Internet, l’articolo 10 della legge aprirebbe la porta a questa opzione: «Per quanto riguarda i servizi di messaggistica criptati, come Telegram, WhatsApp o Signal […] Non si tratta di ascoltare le conversazioni telefoniche su queste applicazioni, ma di approfittare del fatto che passano attraverso le connessioni Internet», ha detto Darmanin, durante la discussione parlamentare. A titolo di esempio il ministro cita l’operazione contro EncroChat che, nel 2020, ha permesso alla Gendarmerie, di entrare nel server (in Francia) del servizio di messaggistica.

Nel dibattito c’è però parecchia confusione, generata anche da parte dell’esecutivo. E un po’ di fuffa. Nella pratica, infatti, che un’azienda (come Facebook) o una fondazione (come Signal) autorizzino la cessione della chiave delle loro crittografie è piuttosto improbabile. Si tratta, tuttavia, di un punto interessante, perché potrebbe aprirsi, in salsa europea, la questione di un conflitto Stato-imprese che di fatto già esiste e negli anni a venire si profilerà sempre di più.

Si tratta di un punto interessante, perché potrebbe aprirsi la questione di un conflitto Stato-imprese che di fatto già esiste e negli anni a venire si profilerà sempre di più

Si pensi, ad esempio, al caso dell’iPhone del killer di San Bernardino, quando in seguito alla strage l’Fbi chiese ad Apple una chiave (o backdoor) per entrare nel codice criptato dell'iPhone. Apple rifiutò e fu poi portata in tribunale, dove le fu ordinato di fornire all’Fbi le capacità tecniche per accedere al telefono. Dopo un nuovo rifiuto da parte dell’azienda di Cupertino in nome della privacy (e di un ottimo marketing), l’Fbi ha dovuto risolvere la questione pagando, a caro prezzo (si parla di 900 mila euro), una società australiana.

Darmanin ha giustificato a più riprese le proprie intenzioni: «Dobbiamo smetterla di essere così ingenui. Tutte le grandi imprese usano degli algoritmi. E lo Stato sarebbe il solo a non poterlo fare?». «Chiediamo di far diventare legge tecniche delle quali, notiamo, la maggior parte delle grandi aziende del web fa uso. Non è strano che lo Stato francese non possa fare lo stesso: come rifiutare alla Dgsi quello che accettiamo da Google e Facebook?».

Ma proprio qui sta il punto: non è la stessa cosa, non è lo stesso campionato. Da una parte abbiamo il targeting pubblicitario e statistico: invasivo, invadente, pericoloso e anche illegale in termini di conservazione e utilizzo dei dati, come nel caso di Cambridge Analytica, tra gli altri. Dall’altra, un governo che vuole entrare a tappeto nelle conversazioni private dei suoi cittadini per poter utilizzare i dati ottenuti in inchieste penali.

Inoltre, va osservato che l’ex direttore della Dgsi, Patrick Calvar, nel 2018 aveva già fatto notare che la «loi sur le renseignement» era «obsoleta» da questo punto di vista: «Queste aziende [le Gafam, N.d.R.] sono molto più potenti dei servizi di intelligence, anche se gli obiettivi perseguiti non sono gli stessi» in particolare perché «i dati sono comunicati volontariamente».

Vi è poi, non ultima, un’altra questione: vogliamo punire le azioni o sanzionare le intenzioni? Conosciamo il bias degli algoritmi. «Stiamo parlando di partire dal principio che tutti sono sospetti […]. La sorveglianza di massa in una democrazia non può essere la soluzione per combattere il terrorismo», come ha affermato Bastien Le Querrec de la Quadrature du Net su FranceInter.

Il testo di legge, non a caso, è stato presentato con grande slancio dalla maggioranza in seguito all’attacco di Rambouillet del 23 aprile scorso, quando Stéphanie Monfermé, agente amministrativo, è stata uccisa da una persona sconosciuta ai servizi di intelligence. Non solo: «La legge arriva una settimana dopo che il Consiglio di Stato francese [decisione del 21 aprile, N.d.R.] ha rifiutato di applicare la giurisprudenza della Corte di giustizia dell'Ue, che nell'ottobre 2020 ha sanzionato molto severamente le “scatole nere”, considerandole contrarie ai diritti fondamentali, alla privacy, alla libertà di espressione, consigliandone l’uso solo in situazioni molto estreme e limitate nel tempo».

Questa «nuova legge antiterrorismo» è la trentaseiesima di questo tipo dal 1986. E la quindicesima dal 2015. Dal 2017 ad oggi, su 35 attentati programmati, solo 2 sono stati bloccati grazie a indizi digitali, a quanto sostiene il governo. Mentre, stando a una inchiesta condotta da «Le Monde», ben 58 su 59 casi sono stati intercettati grazie all’intelligence «umana».